ChinaXiv 合 作 期 刊 

第 37 卷 第 6 期 计算 机 应 用 研究 ”Vol37No.6 

录用 定稿 Application Research of Computers Accepted Paper 
pp Pp 


抗 密 钥 泄露 的 在 线 / 离 线 身份 基 加 密 机 制 、 
张 秀 洁 - 
(潍坊 学 院 计算 机 工程 学 院 , 山东 潍坊 261061) 


摘 要 : 在 线 离线 身份 基 加 密 〈IBOOE) 方案 是 一 种 具有 高 效 的 密 钥 生成 和 加 密 算 法 的 密码 方案 。 然 而 ， 目 前 已 有 
的 IBOOE 方案 无 法 抵抗 边 信 道 攻击 ， 它 将 引起 密码 系统 秘密 信息 泄露 问题 。 新 方案 通过 将 随机 提取 器 嵌入 在 线 加 
密 算 法 来 隐藏 私 钥 汇 露 和 密 文 之 间 的 关系 ， 提 出 首 个 有 界 泄露 模型 下 安全 的 IBOOE 方案 ; 新 方案 基于 合 数 阶 双 线 
性 群 上 的 三 个 静态 假设 ， 利 用 双 系 统 加 密 技 术 在 标准 模型 下 抵抗 选择 明文 攻击 达到 完全 安全 性 和 泄露 弹性 。 此 外 ， 
与 传统 的 IJBOOE 方案 相 比 较 ， 新 方案 特别 适用 于 敏感 数据 存储 且 资源 受 限 的 场景 。 
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Identity based online/offline encryption resistant to key leakage 


Zhang Xiujie? 
(School of Computer Engineering, Weifang University, Weifang Shandong 261061, China) 


Abstract: Identity based online/offline encryption(IBOOE) system is an cryptography scheme of efficient key generation 
and encryption algorithm. But the exist IBOOE systems can’t resilient to side channel attack, it will lead to secret 
information leakage problem of cryptosystem. This paper embed random extractor to online encryption procedure to mask 
the relationship between the leakage of secret key and the ciphertext and firstly put forward a bound leakage IBOOE scheme. 
The proposed scheme employs dual system encryption to prove fully security and chosen plaintext security against key 
leakage attack in the standard model from three static assumptions on composite order bilinear groups. In addition, 
compared with the traditional IBOOE scheme, the proposed Scheme is extremely suitable for the scenarios where store 
sensitive data and resource-constrained. 
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0 引言 案 相 比较 ， 它 具有 较 短 的 密 文 。 
然而 ， 现 有 的 IBOOE 方案 都 没有 考虑 恶意 程序 的 边 信 
为 了 解决 传统 的 基于 证 书 的 公 钥 体制 中 复杂 的 证 书 管理 道 攻击 。 作 为 传统 的 密码 系统 ， 假 定 用 户 私 钥 对 于 可 能 的 攻 
问题 ，Shamir[ 于 1984 年 美 密会 上 首次 提出 基于 身份 加 密 。  ” 击 来 说 是 完全 保密 的 ， 但 在 实际 应 用 中 通过 边 信道 攻击 ( 例 
(IBE)。 在 一 个 IBE 系统 中 , 用 户 公 钥 是 基于 用 户 身 份 的 随 ” ”如 时 间 攻 击 、 能 量 消耗 、 冷 启动 攻击 等 ) 可 以 从 保密 的 私 钥 
机 串 ， 例 如 邮箱 地 址 或 电话 号 码 。 然 而 IBE 方案 2 必须 和 或 者 加 密 系统 内 部 获取 私 钥 的 部 分 信息 。 为 了 模拟 上 述 密 钥 
行 索 乘 或 双 线性 对 等 复杂 运算 ， 不 适用 于 无 线 传 感 器 网 络 等 ” 泄露 攻击 ， 汇 露 弹 性 密码 体制 允许 攻击 者 在 获得 密码 方案 的 
计算 能 力 非 常 有 限 的 环境 。2008 年 Guo 等 人 喇 首 次 提出 在 线 ”部 分 敏感 信息 的 前 提 下 实现 其 可 证 明 安 全 性 。2009 年 Akavia 
离线 身份 基 加 密 (IBOOE) 方案 ， 将 加 密 过 程 分 解 成 离线 和 等 人 首次 设计 出 公 钥 密码 体制 下 密 钥 泄露 ,在 用 户 私 钥 部 
在 线 两 个 阶段 ,离线 阶段 在 不 知道 明文 和 用 户 身份 的 前 提 下 ， 分 泄露 的 情况 下 ， 方 案 仍然 能 够 保证 安全 性 。Naor 等 人 0 
对 复杂 计算 进行 预 处 理 输出 离线 密 文 ; 在线 阶 段 获知 消息 和  ” 提出 有 界 泄露 模型 下 的 公 钥 加 密 方案 。2010 年 ，Chow 等 人 
身份 后 ， 仅 需 少 量 简单 计算 即 可 生成 密 文 ， 大 大 提高 了 在 线 。 [3 基于 Lekow-Waters 的 双 系 统 加 密 机 制 向 , 在 三 个 静态 假设 
加 密 算法 的 效率 ， 但 是 其 密 文 长 度 非常 大 ， 不 适用 于 轻 量 级 ”下 给 出 高 效 的 抗 泄露 IBE 方案 。 文 献 [13,14] 中 提出 利用 双 系 
设备 。2009 年 ACNS 会 议 上 ，Liu 等 人 [9 在 随机 预言 机 模型 ” 统 加 密 技 术 容 忍 密 钥 有 界 泄露 ， 在 双 线 性 对 群 中 构造 了 泄露 
(ROM) 下 ， 构 造 了 高 效 的 IBOOE 方案 ， 特 别 适合 计算 能 弹性 加 密 方案 。Hazay 等 人 (5 提出 基于 任 一 标准 的 公 钥 加 密 
力 有 限 的 传感器 和 智能 卡 等 终端 设备 。2011 年 ASIACCS 会 ”方案 构造 泄露 弹性 公 钥 加 密 方 案 的 通用 转换 ， 基 于 单 向 函数 
为 
从 


议 上 Chow 等 人 中 在 ROM 下 构造 了 首 个 在 线 /离线 身份 基 密 。 ”构造 了 泄露 弹性 伪 随 机 数 生成 器 和 泄露 弹性 消息 认证 码 。) 
钥 封 装机 制 (IBOOKEM)， 并 基于 此 给 出 IBOOE 方案 的 通 了 模拟 实际 的 泄露 ， 假 定 存在 泄露 预言 机 允许 敌手 访问 ， 
用 构造 .2014 年 王 等 人 P9 采 用 双 系 统 加 密 系 统 构造 了 完全 安 ”而 获取 关于 私 钥 的 多 项 式 时 间 可 计算 函数 的 输出 。 近 几 年 ， 
全 的 IBOOE 方案 。2015 年 ACISP 会 议 上 , Lai 等 人 图 采用 新 ”为 了 抵抗 不 同 的 密 钥 泄露 攻击 , 文献 [16~19] 提 出 各 种 相关 的 
的 方法 将 基于 接收 者 身份 的 计算 量 分 成 离线 和 在 线 两 个 阶段 ， 泄露 弹性 密码 原 语 。 

IBOOKEM 给 出 IBOOE 的 高 效 半 通 用 构造 。2017 年 Lai 通过 分 析 , 已 有 的 卫 OOE 方案 无 法 抵抗 密 钥 泄露 攻击 ， 
等 人 四 在 ROM 下 提出 一 个 高 效 的 IJBOOE 方案 , 与 以 前 的 方 。 借鉴 Chow 等 人 (3 提出 有 界 泄露 模型 刻画 密 钥 泄 露 攻 击 ， 针 
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录用 定稿 


对 传统 的 在 线 /离线 身份 基 加 密 方案 , 本 文 设计 了 首 个 泄露 弹 
性 在 线 /离线 加 密 (rIBOOE) 方案 。 在 该 机 制 中 ， 使 用 在 线 
和 离线 加 密 技术 提高 了 系统 的 计算 效率 。 离 线 加 密 预 处 理 复 
杂 计 算 过 程 ， 并 保存 计算 结果 为 离线 密 文 ， 轻 量 级 设备 执行 
在 线 加 密 算法 ， 利 用 离线 密 文 仅 需 少量 简单 计算 即 可 生成 ， 
这 里 使 用 随机 提取 器 来 隐藏 私 钥 泄 露 和 密 文 之 间 的 关系 ， 使 
得 敌手 即使 得 到 一 定量 的 私 钥 量 也 无 法 攻破 IBOOE 方案 ， 
从 而 达到 密 钥 泄露 弹性 。 此 外 ， 基 于 Lekow-Waters 册 的 双 系 
统 加 密 机 制 ， 通 过 一 系列 游戏 刻画 出 详细 的 敌手 模型 ， 并 在 
合 数 阶 双 线性 群 上 基于 三 个 静态 假设 证 明了 游戏 之 间 的 不 可 
区 分 性 ， 从 而 在 标准 模型 下 证 明 新 方案 抵抗 选择 明文 攻击 达 
到 完全 安全 性 和 泄露 弹性 。 


1 ”预备 知识 


1.1 统计 距离 、 炉 和 提取 器 
定义 1 两 个 随机 变量 忆 7 的 统计 距离 定义 为 


SD(X,7)=1/27, |Pr[X =x]-PrlY =#]| 其 中 
SD(X,7)<& 表 两 个 随机 变量 XY、 了 Y 在 统计 上 是 不 可 区 分 的 。 
XY 表示 统计 距离 对 于 安全 参数 是 可 忽略 的 。 后 者 本 文 称 


忒 了 是 统计 上 不 可 区 分 的 。 

定义 2 随机 变量 X 的 最 小 粹 定义 为 
有 H,(X)=-log(max. PAX=x]) ， 而 和 在 随机 变量 了 下 的 平均 条 件 
最 小 炉 瑟 ,(X|Y)=-log(E,_y[max, Pr[X=xY=y]) ， 其 中 Ey 表示 遍历 
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Xxsy 表示 


所 有 了 值 的 期 望 值 , 即 对 所 有 函数 满足 Prtf(Y)=X]<2-2%?， 


并 且 存在 某 个 /对 等 号 成 立 。 
直观 上 ， 随 机 变量 的 最 小 粹 是 用 来 衡量 任 一 敌手 描述 变 


-> 
/ 


量 的 值 的 困难 程度 。 最 小 录 越 大 ， 则 敌手 成 功 的 概率 越 小 ， 
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寻 为 最 优 策略 是 用 最 大 的 概率 maxPr[ 广 x] 来 描述 变量 的 值 。 
平均 最 小 烂 则 是 在 已 知 另 外 一 个 随机 变量 的 情况 下 描述 随机 
变量 对 的 困难 程度 。 下 面 的 函数 称 作 提 取 器 ， 它 典型 应 用 于 
构造 泄露 弹性 系统 。 

定义 3 提取 器 。 一 个 多 项 式 时 间 的 函数 
ext:Gx{0,1}" 一 {0,1}” 是 一 个 平均 的 (h,e) 强 的 提取 器 ， 如 果 对 
随机 变量 (%, 妨 的 所 有 对 ， 满 足 Ho(XIY) >h, 和 YEG， 有 
SD(exl 0), Ui ,7), (Un, Ui ,DD)) <e1 其 中 G 是 一 个 非 空 集 
合 ，U、 分 别 是 {0,1}*、1{0,1}” 上 的 两 个 均匀 分 布 的 随机 
1.2 合 数 阶 双 线 性 群 
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1.3 ”困难 性 假设 
在 合 数 阶 群 上 有 下 面 三 个 困难 问题 假设 。 
假设 1 子 群 判定 假设 。 挑 战 者 运行 G(1"”)， 生 成 
D1=(N,G,Gne, g1,83) 并 将 其 发 送 给 敌手 4。 挑 战 者 随机 选择 vy 
Ef{0,1} 和 和 (4b)<Zx2Z,， 计 算 对 =gf 和 =gf89， 将 克 发 送 
给 4。 最 后 ， 敌 手 4 输出 一 个 值 w*， 如 果 vw*=v， 则 敌手 4 成 
功 。 
本 文 定义 敌手 4 攻击 假设 1 的 优势 为 
Advs a(k) =|Pr[A(D,TI) =1] -Pr[A(D,T') =1]| 
定义 4 称 G 满 足 假设 1, 如果 对 任意 多 项 式 时 间 敌 手 4， 
有 4dvba(k) 是 关于 安全 参数 上 的 可 忽略 函数 。 
假设 2 挑战 者 运行 G(1”)， 随 机 选择 (zz5) 全 
Zh XZ XZ ,将 D?=(Ni,G,Gr,e,81,83,8m82,8Y8》) 发 送 给 敌手 4。 
挑战 者 随机 选择 一 个 值 vE€ {0,1}， 随 机 选择 
(2 和 ZnxZoxZ 计算 下 =8f85 =8f8g8 ,将 发送 给 4。 
最 后 ， 敌 手 4 输出 一 个 值 w*， 如 果 =v， 则 敌手 4 成 功 。 
本 文 定义 敌手 4 攻击 假设 2 的 优势 为 
Adv2. a(k) =|Pr[A(D,T?)=1]-Pr[A(D,T?) =1] 
定义 5 称 G 满 足 假设 2, 如 果 对 任意 多 项 式 时 间 敌 手 4， 
有 Adv&4(k) 是 关于 安全 参数 大 的 可 忽略 函数 。 
假设 3 挑战 者 运行 G(1”) 并 随机 选择 Come,P.o) 熏 
ZrxZxZnxZn 。 将 DD=(N,G,Gi,e,g81,83,8f8;， gig3,8) 发 送 给 
敌手 4。 挑 战 者 随机 选择 ve {0,1}， 随 机 选择 wn-Zs， 计 算 
=e(g,80)F 和 T=el81,8)% ， 将 发送 给 4。 最后， 敌手 4 
输出 一 个 值 ww ， 如 果 w=v， 则 敌手 4 成 功 。 
本 文 定义 敌手 4 攻击 假设 3 的 优势 为 
Advé a(k)=|Pr[A(D,T3)=1] -Pr[A(D,T’) = 蔬 
定义 6 称 G 满 足 假设 3, 如 果 对 任意 多 项 式 时 间 敌 手 4， 
有 Advw&4(k) 是 关于 安全 参数 大 的 可 忽略 函数 。 


泄露 弹性 身份 基 在 线 /离线 加 密 方 案 的 模型 定义 


2.1 泄露 弹性 身份 基 在 线 /离线 加 密 方案 的 形式 化 定义 
泄露 弹性 身份 基 在 线 / 离 线 加 密 (IrIBOOE) 方案 包括 初 
始 化 算法 Setup、 密 钥 提 取 算 法 Ext、 离 线 加 密 算 法 Encof、 
在 线 加 密 算法 Enco 和 解密 算法 Dec 五 个 算法 。 
a)Setup(1) 算 法 。 输 入 系统 安全 参数 上， 输出 系统 公开 
参数 PP 和 主 密 钥 MSK。 系统 参数 包括 消息 集合 M 和 密 文集 
合 C。 其 中 ， 主 密 钥 MSK 由 密 钥 生成 中 心 秘密 存储 。 
b)Ext(PP,I,MSA) 算 法 。 输 入 系统 公开 参数 PP、 用 户 的 
身份 信息 T 和 系统 主 密 钥 MSK， 生 成 该 用 户 的 私 钥 SK ， 


该 群 是 用 一 个 群生 成 器 G， 输 入 一 个 安全 参数 来 定义 
的 ， 它 的 输出 是 双 线 性 群 的 一 个 具体 的 描述 。 本 文 输出 群 系 
统 (N= pip2p3,G,G7,e)。 其 中 入 = pip2p3 为 阶 ,， 它 是 3 个 不 同 
的 素数 的 乘积 ， 群 G 和 Gr 是 N 阶 循环 群 。 一 个 双 线 性 映射 
e:GxG 一 Gr 满足 下 述 性 质 : 

a) 双 线性 。 对 于 任意 的 ghEG, apEN， 均 有 
e(g%h?)=e(g,h) 吕 成 并 。 

b) 非 退化 性 ,存在 gE G 使 得 e(g,g) 在 群 Gr 中 的 阶 为 N。 

c) 可 计算 性 。 对 于 任意 g,hEG，e(g, 有 ) 可 快速 求 取 。 

d) 正 交 性 。G1!、G2 和 G3 表示 群 G 中 阶 分别 为 p!、p2 和 
p3 的 子 群 ， 则 当 hE Gi;， 加 EGi 且 i 图 ，e(hi, 加 ) 是 G7 的 单位 
元 。 具 体 来 说 , 假设 加 EG1, hEG，,，g 表示 G 中 的 一 个 生 
成 元 ， 则 有 结论 8"” 能 生成 群 G3、g”” 能 生成 群 G,、g”” 能 
生成 群 G1。 因此 对 于 某 些 值 @,@2,h=(8g?"*)% 和 加 =(g8””)*， 应 


通过 安全 信道 将 其 发 送 给 该 用 户 。 
c)Enc”(PP) 算 法 。 输 入 系统 公开 参数 PP， 返 回 离线 密 
CE 
dj)Enc”"(M,I，CT"f,PP) 算 法 。 输 入 消息 M、 用 户 的 身份 
信息 六 离线 密 文 CTof 和 系统 公开 参数 PP， 输 出 密 文 CTE 
Gs 


e)Dec(SKn,CT,PP) 算 法 。 输入 用 户 私 钥 SKr、 密 文 CTEC 
和 公开 参数 PP， 返 回 消息 MEM 或 |。 

上 述 给 出 的 算法 要 求 满足 下 面 的 正确 性 约束 条 件 : 对 于 
给 定 的 身份 信息 了 和 与 之 对 应 的 私 钥 SK:， 有 
Dec(SK,Enc°"(M,LEnc° (PP),PP),PP)=M. 
2.2 安全 模型 

lrIBOOE 方案 抵抗 选择 明文 攻击 达到 完全 安全 性 和 港 赴 
弹性 ， 如 果 任 一 概率 多 项 式 时 间 (PPT) 算法 在 下 面 挑战 者 B 


满足 e(n, 记 )=e(8P22 ,8n22)= el(g%“,gme)mmm=1， 则 本 文 称 群 
G1, G1 和 G3 的 这 一 特性 为 正 交 性 。 


与 敌手 4 游戏 Gamereal 中 的 优势 是 可 忽略 的 。 对 于 安全 参数 
大 和 泄露 参数 三 1( 习 ， 游 戏 Gamereal 定义 如 下 : 
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初始 化 阶段 。 挑 战 者 B 输入 安全 参数 运行 Setup(19 
算法 ， 将 系统 公开 参数 PP 返回 给 敌手 4， 秘 密 保存 主 私 钥 
MSK。 此 外 ，B 初始 化 两 个 集合 K= 8 和 LL= 9 分 别 用 于 统计 
密 钥 提 取 询 问 和 密 钥 泄露 询问 .两 个 集合 入 和 工 都 是 身份 大 


co 四 ext(e( 尼 ,cy)e( 扩 ,cch)caci) 

=Co Dext(e(g“g (uh)" g¥,8°)e(ks,cacy )e(g8,8),c1) 
=co Dext(e(g“ (uh)", g:)e(g 8 (uh): (Uw) 0),c) 
=Co Dext(e(g “(uh)’, 8)e(g ", (uh):),c) 


用 户 私 钥 SK1 和 计数 器 cntr 三 个 元 组 的 集合 。 即 (LSKscntn) = Oextle(8®,8°)c) = Bettce cM 
EIxSKxN, 3.1 半 功 能 材料 
阶段 1 政 手 4 适应 性 地 进行 如 下 询 问 。 半 功 能 密 文 : 假定 标准 密 文 CT=(cocc cc Cs,W'), 


a)Ext(]) 询 问 : 挑战 者 B 运行 Ext(PP,ILMSR) 算 法 生成 对 设 g2 是 子 群 Gs 的 生成 元 ， 选取 随机 值 6,z. < ZwxZw， 设 置 

Sh 的 上 ] 户 私 钥 SK], 并 将 元 组 (, SKi, 0) 从 集合 L 移 到 天 。 半 功 能 密 文 为 CT =(coavc188 0008 全 04886 鹿 ) o 
b)Leak(4 有 加) 询问 : 挑战 者 B 首先 检查 是 否 满足 (1,SKi,cntr) 半 功 能 密 钥 : 假定 标准 密 钥 SK, =(h,b,h)， 设 g2 是 子 

EL， 若 不 满足 ， 则 B 调用 Ext(PP,I,MSK) 算 法 生成 SKi， 群 G2 的 生成 元 ， 选 取 随 机 值 x,z <ZyxZs， 设 置 半 功能 密 钥 

将 元 组 (,SKz,0) 添 加 到 集合 工 中 ， 然 后 B 再 检查 是 否 满足 。” 为 5SK,=(h\k'gs,h'g”3) 。 

cntr+l<1， 若 满足 则 将 hi(SKD) 转 发 给 敌手 4， 同 时 设置 cntr= ”3.2 安全 模型 


cntr+tli; 否则 ， 返 El | o 这 里 给 出 一 系列 附加 的 游戏 模型 GameResmicted ~ Leak, 时 KG, 
c)Reveal(CD) 询 问 : 挑战 者 B 首先 检查 是 否 满足 (LSKicntr) 和 Gamerma 。 此 外 ， 前 面 定义 的 游戏 Gamerw 是 一 个 真实 的 游 
EL， 若 满足 ， 则 将 元 组 (7,SKscntr) 移 到 集合 K 中 ， 并 将 私 钥 ” 戏 ， 在 这 个 游戏 过 程 中 生成 的 密 文 和 密 钥 都 是 标准 的 。 下 面 


SK7 转 发 给 敌手 4。 若 不 在 集合 工 而 在 集合 中， 则 8 泄露 


给 出 游戏 模型 的 刻画 。 


SK1; 若 既 不 在 集合 5 也 不 在 集合 K 中 ， 则 B 调用 a) 游 戏 Comenuwuu 。 这 是 一 个 限制 性 游戏 ， 限 制 敌手 不 能 
Ext(PP,I,MSA) 算 法 生成 SK1， 将 元 组 (Q,SK4,0) 添 加 到 集合 K ”对 模 ps 后 与 挑战 身份 相等 的 身份 的 私 钥 进 行 密 钥 查询 , 即 不 
中 ， 并 返回 SK7。 能 询问 三 Tmodp; 的 身份 了 上 的 私 钥 。 这 个 限制 性 条 件 在 后 续 定 
挑战 阶段 。 敌 手 4 输出 两 个 等 长 消息 WMA EM 和 挑战 义 的 游戏 中 都 成 立 。 
身份 产 。 挑 战 者 B 随机 选取 be {0,1}， 设 置 C7T*=Ene*"(M;， b) 游 戏 Leak; 。 令 L 表示 Leak 询问 中 互 不 相同 的 最 大 的 
Enc"f(PP),PP) 并 将 CT 发 送 给 敌手 4。 身份 数 。 对 于 iE[L-1]， 游 戏 Leak 与 游戏 Gonenewuu 类 似 ， 除 
阶段 2 ” 同 阶 段 1， 但 是 不 允许 敌手 4 进行 Leak(7, 加 ) 询 了 Leak 中 的 密 文 是 半 功 能 的 ， 并 且 前 i 个 身份 (不 包含 挑战 
问 和 Reveal(D) 询 问 ， 继 续 Ext(D) 询 问 〈 玉 三 )。 身份 ) 的 泄露 私 钥 是 半 功 能 的 。 这 里 的 Ext 询问 的 密 钥 都 是 
猜测 阶段 。 政 手 4 输出 对 2 的 猜测 5’。 如 果 b=b',， 则 4 ”标准 的 。 其 中 ，ZLeak 表示 构造 的 所 有 密 钥 都 是 标准 的 ， 所 有 
获胜 。 密 文 都 是 半 功 能 的 ;Leaki 表示 除了 挑战 身份 的 私 钥 外 ， 所 
定义 7 如 果 任 何 概率 多 项 式 时 间 敌 手 4 赢得 游戏 有 泄露 的 私 钥 都 是 半 功 能 的 。 


Gamereal 的 概率 都 可 以 忽略 ， 则 称 该 IIBOOE 方案 抵抗 选择 
明文 攻击 达到 完全 安全 性 和 泄露 弹性 (IND-Ir-CPA)。 


3 ”本 文 所 提出 的 IrIBOOE 方案 


本 文 的 IIBOOE 方案 并 由 五 个 算法 组 成 : 初始 化 算法 


Setup、 密 钥 提 取 算 法 Ext、 离 线 加 密 算法 Encet、 在 线 加 密 


算法 Enco" 和 解密 算法 Dec。 
a)Setup 算法 。 输 入 系统 安全 参数 。 


(a) 选 取 阶 为 N= pip2zp3 的 双 线 性 群 G， 


其 中 pi、 和 ps 


是 3 个 不 同 的 素数 ， 令 Gi 表示 G 中 阶 pi 的 子 群 ， 合 数 阶 群 


的 一 个 双 线 性 映射 e:CGxG 一 Cr; 
(b) 选取 一 个 
机 选取 wu,g,hE Gi,a,pEZN, 选取 群 G3 的 生成 


有 参数 Log1G|1-4,s6) 的 提取 函数 ext， 随 


元 g3, 输出 系统 


公开 参数 PP=(N,G,Gre,g,ush,e(g;8)%e(g,8)f,ex) 和 主 密 钥 


MSK=(0,p,83) - 


b)Ext(PP,I,MSA) 算 法 。 随 机 选取 t,rEZn 和 p,p’ EZn， 


设置 身份 了 的 私 钥 SKj,=(k,k,ks)=(t,g°g8 PF (uh)’ 


84,8 87) 。 


c)Ene”f(PP) 算 法 : 随机 选取 s 一 {0,1j 和 0,w,zEZN， 设 


置 cli=s， 计 算计 算 cx=gz，c3=(u4，c4=u™™， 


Cs5=e(g8,g) 户 ，c6= 


e(g,8)“”“。 输 出 离线 密 文 CT 全 (C1,c2,c3,C4,C5,C6,w,0)。 


qd)Enc”"(M,I，CTofiPP) 算 法 。 输 入 消息 M， 用 


户 身 份 玫 


离线 密 文 CTef 和 公开 参数 PP， 计 算 co=exi(c1,c6)@M， 输 出 
密 文 CT=(co,c1,c2,c3,c4,C5;wW1)， 其 中 wi=w-!1(1-0)modZN。 


e)Dec(SKr ， 
CT=(co,c1,C2,C3,C4,C5,W1)， 采 | 


CT,PP) 算 法 。 


M =co Bext(e(ks,c3)e(ks,cscY )ch ,ci) 
正确 性 验证 : 


给 定 密 文 


用 户 私 钥 SK1 解 密 如 下 : 


c) 游 戏 KG, 。 令 K 表示 Ext 询问 的 最 大 次 数 . 对 于 ;1E[LK]， 
功能 的 ， 除 了 挑战 身份 之 外 所 有 
Ext 询问 生成 的 前 i 个 私 钥 都 
的 私 钥 都 是 标准 的 。 注 意 ， 


游戏 KG; 构造 的 密 文 都 是 
泄露 的 密 钥 都 是 半 功 能 的 ，: 
是 半 功 能 的 ， 剩 余 


区 别 于 工 表示 


不 同 身 份 的 最 大 数目 ， 


中) 游戏 Comen 


改 的 ” 半 功 能 密 文 。 这 里 ,7 是 


3.3 安全 性 证 明 


定理 1 


基于 三 个 静态 


Ge {0,1),(z,7) © Zn XZn, 


K 是 询问 的 次 数 。 
ma。 与 游戏 KGx 一 样 ， 除 了 密 文 是 一 个 “ 修 
兆 战 身份 私 钥 的 标签 。 


Co =ext(c6,c) BM,,a {0,1}, 


Ce =e(8,8)"e(8, 8 
cy = 8°88,c3 = (uh): go, 
C4 =u" gs,cs =e(8,8), 


6 个 引 理 。 


择 昌 


困难 问题 假设 ， 通 过 证 明 上 面 的 一 系列 游 
戏 模 型 Gamenw 、 Gamerowisea 、 Zeak 、 KG; 
可 区 分 性 ， 推 丑 


和 Game pa 过 间 的 不 


敌手 在 实际 游戏 Gamerew 中 的 优势 可 忽略 ， 
则 在 标准 模型 下 IIBOOE 方案 工 在 选 
性 游戏 中 达到 /- 密 钥 泄 露 安全 
如 果 假 设 1~3 成 立 ， 


上 j 文 攻击 的 不 可 区 分 


上 面 的 IYIBOOE 方案 工 抵 
抗 选择 明文 攻击 达到 完全 安全 性 和 泄露 弹性 (IND-lr-CPA )。 
证 明 证 明 见 下 盏 


引 理 2 ”如果 存 在 敌手 4 使 得 hg -4 = , 则 


可 构建 一 个 PPT 


设 2。 


洲 战 者 B 至 少 以 s/4 的 优势 攻破 假设 1 或 假 


证 明 B 收 到 D’*=(N,G,Gr,e, 81,83,87 82,82 83 ) 和 了。 有 随机 


选择 yo,D) 和 二 区 
钥 MSK=(a,p,g3)。B 调 


， 令 u=g%h=g*， 生 成 公开 参数 PP 和 主 密 
算法 Ext(PP,I,MSA) 响 应 敌手 4 的 私 
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钥 询 问 。 


4U2d -Advsrw" "=s 知 敌 手 4 以 的 概率 询问 


三 Tmodp;， 即 p2 整除 了， 则 B 通过 计算 a=gcd(-7',N) 得 到 
和 的 一 个 非 平 凡 因 子 。 设 置 b=N/a， 则 分 为 下 面 两 种 情况 : 

a) b=p1 或 b=pip3。 挑 战 者 B 通过 验证 7 是否 是 单位 元 
攻破 假设 1。 

b) b=p3。 挑 战 者 B 通过 验证 e((g?g3 ,7,) 是 否 是 单位 元 
攻破 假设 2。 

通过 上 述 分 析 , 挑战 者 B 可 以 根据 4 的 输出 区 分 两 种 可 
能 的 结果 ， 从 而 确定 处 于 哪个 游戏 中 。 但 是 ， 根 据 假设 1 和 
假设 2 成立， 游戏 Gamerewm 和 Gameroswnns 是 不 可 区 分 的 。 


引 理 3 ”如果 存在 PPT 敌手 4 使 得 A448 Ad =e， 


则 可 构建 一 个 挑战 者 B 以 s/2 的 优势 攻破 假设 1。 
证 明 B 收 到 D!=(N,G,Gr,e, g1,83) 和 7T， 其 中 7=gf 或 
8f8s 。 同 引 理 2 挑战 者 B 选择 和 设置 公开 参数 PP 和 主 密 钥 
MSK。B 调用 算法 Ext(PP,I,MSK) 响 应 敌手 4 的 私 钥 询问 。 
在 挑战 阶段 ，4 发 送 给 挑战 者 B 两 个 等 长 的 消息 Mo、Mi 和 
挑战 身份 六 。 挑战 者 B 随机 选择 o<{0,1}， 利 用 了 构造 挑战 
密 文 如 下 : 
c =ext(ci,ce) DBM,,c {0,1,o < {0,1}, 
(w,0) € Zy xZy,c? = 了 ,ci = 了 07 C =T%, 
cs =e(T,g8)s,ci =e(T,g)°,w =wWT( 关 -OmodN 
如 果 7=gf ，4 执行 游戏 Gamerwms :如果 7T=stgs ， 则 挑 
战 密 文 是 一 个 半 功 能 密 文 且 z 于 ze 模 ps 的 值 与 
xmodpl 和 ymodpi 不 相关 ， 所 以 挑战 密 文 的 分 布 是 正确 的 。 
敌手 4 以 2 的 优势 区 分 游戏 Gamerewiaws 和 ea ， 则 B 以 同样 
的 优势 攻破 假设 1。 通 过 上 述 分 析 ， 根 据 假设 1 成 立 ， 游 戏 
Gamerewrines 和 Leako 是 不 可 区 分 的 。 


引 理 4 如 果 存在 PPT 敌手 4 使 得 A 人 -Ad =e， 


则 可 构建 一 个 挑战 者 B 以 ae/2L 的 优势 攻破 假设 2。 

证 明 ”在 挑战 阶段 之 前 ，B 不 确定 哪 一 个 身份 是 挑战 身 
份 站 , 它 随机 选取 产生 人 2… 丰 作为 对 挑战 身份 的 猜测 ， 猜 对 
的 概率 为 1 全 。 则 对 于 第 产 次 私 钥 询问 ,如 总 用 标准 密 钥 响 应 。 

B 收 到 D?=(Ni,G,Gr,e,g1,83,8*82,828#) 和 7T， 其 中 7= gfgs 
或 sfg4gs 。 公 开 参 数 PP 和 主 密 钥 MSK 的 构造 同 引 理 2。 挑 
战 者 B 和 敌手 4 交互 如 下 : 

密 钥 询问 : 

对 于 前 i-1 个 密 钥 询问 , B 选取 br,p,p',p ”EZrN, 1 表示 敌 
手 4 询问 的 身份 。B 构造 私 钥 如 下 : 


XO+y ， 


个 密 钥 询问 ，B 选取 ip EZN 和 zx=x0ty， 采 用 挑战 项 了 构造 
私 钥 如 下 : 


kh=t,k =g°g PT*gY,ks=T 


其 中 ， LPEZLyxXZy, z=X0+yo 


对 于 其 他 的 密 钥 询问 ，B 总 用 主 私 钥 构 造 标准 密 钥 来 响 


应 。 


挑战 阶段 ， 当 B 对 挑战 身份 产 的 猜测 不 正确 则 退出 否 
则 8B 随机 选择 o<{0,1} ， 并 给 4 返回 如 下 的 挑战 密 文 : 
C0 =ext(c ,ce DM,,c {0,1}, 
C= 8 .8,0 = (8 82)" ,C4 =(87 8 
C3 =e(81 82,8)5,c6 =e(81 82,8)°, 
(w,0) -ZnyxZy,w =wi(1* -0modN 


这 是 合理 分 布 的 半 功 能 密 文 ， 其 中 暗含 半 功 能 参数 
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z=x0+y ， 即 cc =(g*g,)* 。 在 敌手 4 看 来 ， 对 所 有 的 
TzrmodN ，z=x96+y 和 =x60+y 是 模 ps 下 的 随机 分 布 。 

如 果 T=g8f8f ，4 执行 游戏 Leak,; 如 果 7T=gf8sgfs ， 则 4 
执行 游戏 Leak; 。 因此 , 如 果 敌 手 4 以 8 的 优势 区 分 游戏 Peak 
和 Leak ， 则 B 以 a12L 的 优势 攻破 假设 2。 通 过 上 述 分 析 ， 根 
据 假设 2 成 立 ， 游 戏 Zeak- 和 Leak; 是 不 可 区 分 的 。 


引 理 5 如 果 存 在 4 使 得 Advz%“ -Advz4=s ， 那 么 就 能 
构建 一 个 挑战 者 B 以 a/12L 的 优势 攻破 假设 2。 
引 理 6 如 果 存 在 4 使 得 4dvwz%' -Advz4 =s ， 那么 就 能 构 


建 一 个 挑战 者 B 以 a/2L 的 优势 攻破 假设 2。 

证 明 引 理 5 和 6 的 证 明 与 引 理 2 和 引 理 3 的 证 明 类 似 。 
这 里 省 略 。 挑 战 者 以 UL 的 概率 猜测 挑战 身份 ， 为 所 有 泄露 
的 身份 (Tz7" modN ) 创 建 半 功 能 私 钥 。 然 后 ， 对 于 引 理 5 和 
6 中 分 别 仿真 第 一 阶段 的 私 钥 或 者 第 i 次 密 钥 询问 Ext(D)， 挑 
战 者 再 利用 假设 2 的 挑战 项 来 构造 。 第 i 次 密 钥 询问 Ext(D) 
之 前 返回 半 功 能 私 钥 ， 之 后 返回 标准 私 钥 。 这 里 ， 注 意 计 数 
询问 次 数 ， 而 非 身份 个 数 。 此 外 ， 可 能 在 阶段 2 进行 第 i 次 
密 钥 询问 ， 区 别 于 与 泄露 询问 只 在 阶段 1 。 


引 理 7 如 果 存 在 4 使 得 Adws% -Advs%”% =s ， 那 么 就 外 


能 

构建 一 个 挑战 者 B 以 ce/2L 的 优势 攻破 假设 3。 

证 明 B 收 到 D3?=(N,G,Gr,e,g1,83,8f82,878Y,8》) 和 7， 其 
中 7T=e(g1,8)F 或 e(g1,8% 。 挑 战 者 B 随机 选取 Gx,y,7,) 车 22%， 
隐 式 地 包含 xc=prra ， 则 设置 公开 参数 
e(g,8)? =e(g{ 82,81)7,e(8,8)" =e(g{ 82,81)" ,4=g*，h=8g8’” ,并 且 发 送 
公开 参数 PP 给 敌手 4。 

B 以 1L 的 概率 猜 对 挑战 身份 六 的 位 置 站。 

阶段 1 密 钥 询问 : 当 4 对 身份 了 进行 密 钥 查询 时 ，B 
构造 身份 了 上 私 钥 如 下 ; 
当 Iz1W 时 ，B 随机 选择 六 p,p,p"p"<Z， 构 造 身份 了 
的 私 钥 : 


Ik 


各 


(rt —f,(gf 82) gf (uh)’ gf (83)", gi’ (8g )?" 8 ) 。 


当 7=1 中 时 ，B 均匀 地 随机 选择 7,p,p'< 怠 ， 构 造 身份 了 
私 铀 0 ,ggCe 各 "898 (gd gf)= (ki, ki, ) 。 
挑战 阶段 : 敌手 4 发 送 给 B 等 长 消息 Mo 和 M1。B 随机 
选择 o<{0,1} ， 构 造 挑 战 密 文 为 
co =ext(ci,ce) BM, ,ci € {0,1}, 
C=(gF87)™,c3 = (8F87)*",c4 = (8F87), 
c=T,c =e(Ki, ci)e(k, cicr" cw, 
(w,0) €Zy xXZy,w =wi(1*—0)modN 
其 中 : (6,&, 避 ) 是 在 阶段 1 中 为 挑战 身份 了 构造 的 标准 私 钥 。 
这 里 设置 z=x96+y ，cc =(g8*g3)”?， 因 为 xyy 的 值 只 与 模 p1 
有 关系 ，zc 的 值 只 与 模 ps 相关 ， 对 于 敌手 4 而 言 ， 它 们 看 起 
来 是 随机 的 。 
如 果 T=e(g1,8)* ， 则 4 执行 游戏 KGk; 
如 果 7T=e(g1,8)% ，B 构造 的 是 无 效 的 半 功 能 密 文 ， 因 为 
e(0Gc)e(0Gccm cm =e(g,8)"e(g,8)" 9" ， 则 4 执行 游戏 Gonemw ， 
则 B 以 /2L 的 优势 攻破 假设 2。 但 是 ， 根 据 假 设 3 成立， 所 
以 游戏 KGk 和 Gamerww 是 不 可 区 分 。 
通过 引 理 2~ 7 的 证 明 , 推导 得 出 游戏 Gamerw 、Gamenewrw 、 
Leak; 、KG 和 Gamerwa 之 间 具 有 不 可 区 分 性 ， 则 敌手 无 法 区 分 
真实 游戏 Gamerea 和 游戏 Gamerimar 。 因此 , 敌手 4 攻击 IlrIBOOE 
方案 二 失败 ， 则 LIBOOE 方案 是 IND-Lr-CPA 安全 的 ， 即 
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完成 定理 1 的 证 明 。 
3.4 性 能 比较 

本 小 节 在 计算 复杂 性 和 存储 代价 方面 对 所 提 方 案 的 效率 
进行 分 析 ， 通 过 标准 模型 下 传统 的 IBOOE 方案 [5,8,20] 进 行 
比较 ， 具 体 如 表 1 所 示 。 其 中 ，E 表示 群 G 或 Gr 中 的 究 指 
数 运算 ，ME 表示 群 G 或 Gr 中 的 多 点 乘 运算 ,mc 是 如 或 Zn 
中 的 模 运 算 , |G| 表 示 群 G 中 元 素 的 长 度 ,LR 表示 汽 露 弹性 。 

表 1 性 能 比较 


Table 1 Performance comparison 
方案 离线 加 密 ” 在线 加 密 安全 性 模型 
文献 [5] 3E lme 选择 安全 CPA 
文献 [8] 2 Lme 选择 安全 CPA 
文献 [20] 4E+1ME lme 完全 安全 CPA 
本 文 方案 ”4E+2ME lme 完全 安全 CPA 和 LR 
通过 表 1， 本 文 的 方案 中 构造 的 在 线 加 密 算法 只 需 一 个 
异 或 运算 和 模 运 算 即 可 生成 密 文 。 由 于 在 Z 中 的 模 运 算 比 群 


G 或 Gr 中 的 客 乘 法 运算 快 很 多 倍 , 这 非常 适用 于 计算 能 力 受 
限 的 轻 量 级 设备 。 本 文 的 方案 与 文献 [20] 都 采用 了 双 系 统 加 
密 系统 ,本 文 的 方案 在 离线 加 密 阶 段 增加 了 1 个 多 点 乘 运 算 ， 
但 是 本 方案 抵抗 选择 明文 攻击 达到 完全 安全 性 和 泄露 弹性 。 
此 外 ， 在 解密 过 程 中 ， 与 传统 IBOOE 相 比 ， 没 有 额外 增加 
运算 量 。 通 过 对 比 ， 本 文 得 出 本 方案 在 没有 增加 计算 代价 的 
前 提 下 ， 达 到 完全 安全 性 和 密 钥 弹性 泄露 。 因 此 ， 本 文 提出 
的 IIBOOE 方案 在 保证 效率 的 同时 提供 泄露 弹性 ,特别 适合 
于 轻 量 级 设备 收集 敏感 数据 。 


4 ”结束 语 
本 文 首次 构造 了 一 个 泄露 弹性 在 线 /离线 身份 基 加 密 方 
案 ， 采 用 一 系列 游戏 对 敌手 模型 进行 了 详细 刻画 ， 并 且 采 用 


治 
nS 


统 加 密 机 制 ， 基 于 合 数 阶 双 线性 群 上 的 静态 假设 ， 在 标 
准 模型 下 对 其 在 密 钥 泄露 环境 下 的 选择 明文 安全 性 进行 了 严 
格 的 证 明 。 与 现 有 的 IBOOE 方案 相 比较 ， 本 文 方案 是 高 效 
的 和 安全 的 。 但 是 新 方案 没有 考虑 适应 性 选择 密 文安 全 性 


局 此 如 何 基于 双 系 统 加 密 机 制 ， 构 造 抵抗 密 文 攻击 的 、 高 效 
的 抗 主 密 钥 泄露 和 用 户 密 钥 泄露 的 IBOOE 方案 是 今后 研究 
工作 中 一 个 蝇 待 解决 的 问题 。 
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